2SDnjcoK9BL
Специалисты обнаружили новую уязвимость в процессорах Apple M1 и A14. Недостаток Augury Apple Silicon микроархитектуры некритичный и приводит к утечке данных в состоянии покоя.
Группа исследователей под управлением Хосе Родриго Санчеса Викарте из Иллинойского университета в Урбана-Шампейн и Майкла Фландерса из Вашингтонского университета опубликовали отчет об обнаруженной ошибке в Augury Apple Silicon .
Apple-процессор использует механизм предварительной выборки, зависящей от данных и памяти (Data-Memory Dependent Prefetcher, DMP). Алгоритм просматривает содержимое памяти и определяет необходимость делать предварительную выборку.
Процессоры Apple M1, M1 Max и A14 выполняют предварительную выборку с использованием шаблона разыменования массива указателей. По словам экспертов, процесс может привести к утечке данных. Apple M1 Pro и, возможно, более старые чипы серии A , также содержат уязвимость.
«Как только чип увидит, что происходит массив *arr[0] ... *arr[2], процессор начнет предварительную выборку *arr[3] и далее. То есть сначала предварительно выберет содержимое arr, а затем разыменует это содержимое. Более того, обычный механизм предварительной выборки не будет выполнять разыменование», - сказали исследователи.
«Найденная ошибка является самым слабым DMP-механизмом для злоумышленника. Он выполняет предварительную выборку только когда содержимое является допустимым виртуальным адресом и имеет ряд нечетных ограничений. Мы показываем, что это может быть использовано для утечки данных и нарушения рандомизации размещения адресного пространства (address space layout randomization, ASLR). Мы считаем, что возможны другие более крупные атаки», - заявил доцент Вашингтонского университета и главный исследователь группы Дэвид Кольбреннер.
Исследуемая уязвимость не критична и не опасна для проникновения эксплойтов. Утечка может происходить только из указателей и, возможно, из «песочницы». Несмотря на низкую опасность ошибки, она очень важна и позволит Apple сделать свои устройства более защищенными от вредоносного использования.
С момента перехода Apple на собственные процессоры наблюдалось несколько небольших проблем с безопасностью, связанных с обменом данными между приложениями. Кроме того, ранее была создана специальная вредоносная программа для Apple Silicon.
Платформа Deezer совместно с исследовательской компанией Ipsos опубликовала результаты крупного международного опроса о восприятии музыки, созданной искусственным интеллектом.
Исследователи Sonatype сообщили о беспрецедентной автоматизированной атаке на экосистему open-source, получившей название «IndonesianFoods».
Исследователи Netcraft выявили масштабную фишинговую операцию, нацеленную на гостей отелей.
Обнаружен один из крупнейших сборников украденных учётных данных: почти два миллиарда уникальных адресов электронной почты и 1,3 миллиарда паролей, — сообщает Трой Хант, создатель сервиса проверки паролей HIBP.
4 декабря в Москве более 50 экспертов по информационной безопасности подведут итоги года на масштабной аналитической конференции «Код ИБ ИТОГИ».
«Лаборатория Касперского» расширяет присутствие в Юго-Восточной Азии — компания назначила нового регионального директора, а также вывела работу во Вьетнаме на новый уровень, открыв офис в стране.
Сервис Have I Been Pwned загрузил один из самых больших массивов данных в своей истории - набор Synthient Credential Stuffing Threat Data, появившийся в 2025 году.
Microsoft заблокировала одну из самых известных схем обхода активации Windows 10 и Windows 11, которая работала через локальный KMS-сервер и не требовала подключения к интернету.
13 ноября на форуме «Цифровые решения» прошла пленарная сессия «Как бизнес защищает клиентов и данные в 2025 году».
28–29 января 2026 года в Москве, в Кластере «Ломоносов», состоится 28-й Национальный форум информационной безопасности «Инфофорум-2026».
